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(57) Abstract: The invention concerns 
a system for making secure transactions 
by mail-order purchasing, in particular 
on the Internet, with delivery of a unique 
and non-reusable code for each completed 
transaction. The system involves a third 
party (20, 50) between the purchaser (10) 
and the seller (30, 60). Said third party has a 
table (80) likewise stored in an electronic fill 
device (70) of the purchaser (10). The third 
party validates the purchase when the code, 
issued from the electronic fill device (70) 
and transmitted by the purchaser, is identical 
to a code present in the table located at 
the third party's. Said code advantageously 
comprises the value of an incremental 
counter associated with a certification 
number randomly determined when the 
electronic fill device (70) is initialised. 

(57) Abrege : L' invention concerne un 
systeme de securisation des transactions lors 
d' achat par correspondance, notamment sur 
Internet, avec delivrance d'un code unique 
et non reutilisable pour chaque transaction 
effectuee. Le systeme fait intervenir un 
tiers de confiance (20, 50) entre l'acheteur 
(10) et le marchand (30, 60). Ce tiers de 
confiance possede une table (80) egalement 
stockee dans un boitier electronique (70) de 
l'acheteur (10). Le tiers de confiance valide 
T achat 
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Publiee : 

— sans rapport de recherche Internationale, sera republiee 
des reception de ce rapport 

En ce qui concerne les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



lorsqu'un code, provenant du boitier electronique (70) et transmis par Tacheteur, est identique a un code present dans la table local- 
ised chez ce tiers de conrlance. Ce code comprend avantageusement la valeur d'un compteur incremental associe a un numero de 
certification determine de facon aleatoire lors de V initialisation du boitier (70). 
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"Systeme et procede de securisation des transmissions 

d 1 informations . " 

La presente invention concerne un systeme et un 
procede de securisation des transmissions d 1 informations , 
et notamment iors de transactions lors d 1 achats par 
correspondance , en particulier sur Internet ou Minitel ou 
par telephone. 

La vente de produits par correspondance, notamment 
sur Internet, necessite un systeme de transmission d'ordre 
de paiement inviolable. Le principe actuellement le plus 
repandu est la communication par l'acheteur de ses 
cordonnees bancaires, via les coordonnees de sa carte de 
credit. Ces informations sont de plus en plus souvent 
transmises cryptees afin d'eviter la fraude. Le cryptage 
pouvant etre effectue soit par le logiciel de navigation 
Internet, typiquement en utilisant le protocole SSL, soit 
par un logiciel dedie utilisant un algorithme tel que, par 
exemple, RSA 128. II est a noter cependant que tout 
cryptage est repute decryptable. Les variables de 
resolution d'un code de cryptographie sont, en fonction de 
la complexity du code, la puissance de calcul mis en 
regard et le temps disponible. Dans de nombreux pays 
1 1 utilisation de systeme de cryptographie tres evolue est 
en outre limite par un cadre legislatif permettant aux 
etats de conserver le controle si necessaire de la 
diffusion des informations. Ainsi 1' evolution permanente 
de la puissance des ordinateurs grand public est elle 
necessairement une remise en cause permanente de la 
qualite des codes de cryptographie. 

Cependant la cryptographie ne repond qu'a une seule 
problematique des transmissions d 1 informations sur 
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Internet, a. savoir le risque d 1 inter ception du message 
entre les deux acteurs . Or, la confident ialite d 1 un 
message doit etre complete, en particulier en matiere de 
paiements, de bout en bout de la chaine. Ainsi il est 

5 necessaire de tenir compte de la bonne foi au niveau du 
marchand qui, ayant regu les coordonnees bancaires en 
clair, aurait la possibility de les detourner de l f usage 
prevu par l'acheteur. Un cas courant de fraude est ainsi 
la lecture sur les tickets de caisses en magasins des 

10 elements des cartes de credits, en particulier le nom de 
son proprietaire , son numero de serie, et sa date de 
validite, elements que la plupart des services de vente 
par correspondance considerent comme suffisant pour 
valider un achat. 

15 Une autre source d 1 insecurity en particulier sur les 

reseaux inf ormat iques , est le vol par effraction de bases 
de donnees stockant les informations personnelles des 
clients d'une entreprise, au nombre desquels leurs numero 
de cartes de credits. En fait, les possibilites de fraudes 

20 par piratage inforraatique ou autre restent reelles tant 
que le code des cartes bancaires est accepte par les 
commergants sans preuve de la legitimite de l'acheteur. 

Les alternatives existantes sont tout d f abord le 
paiement par cheque ou par mandat, bien moins pratiques 

25 pour le client, et refute par certains commergants car 
limitant les achats impulsifs. On trouve ensuite, sur 
Internet, les solutions basees sur la lecture des 
informations de securisation des cartes bancaires a l'aide 
de lecteurs de carte. Ce systeme necessite de la part de 

30 1 1 acheteur d'etre equipe d'un lecteur adapte, ce qui 
restreint notablement sa liberte d 1 achat. De plus ce 
systeme ameliore la securite du point de vue du marchant, 
qui est ainsi assure de la validite de son acheteur, mais 
ne change en rien au fait que 1 ? utilisateur , dont le code 
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de carte bancaire peut etre pirate de differentes fagons, 
voir meme genere par des logiciels specialises, soit 
expose a ce que les commergants continuent d' accepter les 
paiements non securises. Enfin il existe la solution 

5 decrite dans le brevet US 005,883,810 consistant a fournir 
a 1 1 acheteur a chaque transaction un nouveau code se 
substituant au code de sa carte de credit, et de faire la 
cor r espondance a posteriori entre les deux codes. 
Cependant ce systeme reste une continuity de 1 ' utilisation 

10 de la carte bancaire par correspondances , et par 
consequent, comme dans le cas de 1 1 utilisation d'un 
lecteur de carte, n'empeche pas 1 ' utilisation frauduleuse 
d'un numero de carte vole dans une base de donnee clients 
ou sur une facture de restaurant. 

15 La presente invention propose un systeme de 

securisation des transmissions d 1 informations , et 
notamment lors de transactions lors d f achats par 
correspondance , qui permet de resoudre les problemes 
precites . 

20 Un autre but de 1 1 invention est de proposer un 

systeme de transaction securisant aussi bien pour le 
client que pour le marchand. 

L f invention a encore pour but un systeme evitant la 
transmission d 1 un code de carte bancaire via un reseau de 

25 communication. 

On atteint les objectifs precites avec un systeme de 
transaction securisee via un reseau de communication, 
comprenant un terminal d'un client pour se connecter a ce 
reseau de communication et transmettre une requete 

30 d 1 achat, un serveur marchand pour recevoir la requete 
d ! achat du client et une information de transaction 
fournie par le client, un serveur d'un tiers de confiance 
pour recevoir et valider 1 1 information de transaction afin 
de proceder au paiement de 1 1 achat . Selon 1' invention, le 
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systeme comprend un module de traitement localise chez le 
client et comprenant une table client qui renferme 
1 1 information de transaction, cette information de 
transaction etant unique pour chaque transaction. Par 

5 ailleurs, le serveur du tiers de confiance comprend un 
double de cette table client. La table client stockee dans 
le serveur du tiers de confiance est telle qu'elle est 
inaccessible par le reseau de communication. La requete 
d' achat peut comprendre un code d T identification du client 

10 tel que par exemple un numero de serie unique dispose sur 
le module de traitement. 

Par module de traitement on entend un boitier 
electronique ou tout autre module equipe de toute autre 
type de technologie telle que la technologie photonique, 

15 moleculaire ou mecanique. 

De preference, la table client comprend une serie de 
numeros d' achat chacun associe a un numero de 
certification unique. Avantageusement , chaque numero de 
certification est un numero aleatoire determine lors de la 

20 creation de la table client. Suivant une variante de 
1 T invention, la table comprend une serie de numeros 
d 1 achat, et le boitier electronique et le serveur du tiers 
de confiance comprennent un algorithme apte a determiner 
pour chaque numero d' achat un numero de certification 

25 unique. 

L'homme du metier pourra choisir entre telle ou telle 
version en fonction de la vitesse de calcul et de l'espace 
memoire disponible dans le boitier electronique. On peut 
choisir le type d' algorithme parmi les algorithmes de 
30 cryptographie existants dans la litterature tels que ceux 
decrits dans les documents US4405829 et FR2756122 par 
exemple, ou tout autre type d f algorithme . II est cependant 
interessant de choisir un algorithme de cryptage d'un 
degre suffisant pour que l'eventuel interception d'un 
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nombre important de codes ne permette pas a 1 ' inter cepteur 
de determiner le code suivant . Si le concepteur du boitier 
prefere utiliser un algorithme simple, il pourra alors 
limiter le nombre maximum de numero d T achat sur un meme 
5 boitier, de fagon a ce que la connaissance de la totalite 
de ces numeros d' achat ne permette pas de comprendre 
1 ' algorithme utilise . 

Avec un tel systeme, la transmission d T information , 
notamment pour une transaction par correspondance, est 

10 securisee. L'invention est part iculierement remarquable 
par le fait qu'on utilise un boitier electronique 
contenant dans une memoire une table client qui renferme 
une serie de codes, ou information de transaction, 
cor respondant s a une serie de requetes de la part de 

15 1 1 utilisateur . Cette table client est connue et tenue 
secrete par un seul tiers de confiance qui peut 
avantageusement etre la societe emettrice du boitier 
electronique. Idealement, la memoire est protegee de fagon 
a ne pas etre lisible par d ! autre moyen que 1 'execution du 

20 traitement prevu par la presente invention. Cette memoire 
ne possede par exemple pas de connexions externes au 
boitier, et/ou l'acces a ses connecteurs necessite la 
destruction du boitier. La table est done isolee de tout 
systeme de communication externe . 

25 Le tiers de confiance faisant office d ' etablis sement 

de credit ou de banque ou etant associee a un 
etablissement de credit ou bancaire, est garante de la 
validite de la transaction. 

Le boitier electronique possede un ou plusieurs 

30 circuits logiques, typiquement un microproces seur , ayant 
en charge d'une part la gestion interne des informations 
et d ! autre part les calculs necessaires aux dif f erents 
traitements. Selon une car acteris tique de l'invention, le 
boitier comprend en outre des moyens de traitement pour 
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fournir a chaque sollicitation un nouveau numero d ' achat 
ainsi qu'un nouveau numero de certification associe. En 
particulier, ces moyens de traitement peuvent comprendre 
un compteur incremental s'incrementant d ' une unite a 

5 chaque fourniture d'un numero de certification, et le 
numero d' achat peut avantageusement etre la valeur de ce 
compteur incremental. Le serveur du tiers de confiance 
possede egalement un tel compteur. 

Le boitier electronique peut comprendre en outre une 

10 interface homme/machine. Cette interface homme machine 
peut etre composee d'une part d'un element d' acquisition, 
par exemple un clavier de dix touches allant de 0 a 9 plus 
eventuellement deux touches programmables, par exemple 
"Validation" et "Annulation" , ou bien par exemple un micro 

15 associe a un circuit de reconnaissance et d'analyse 
vocale, ou d'une fagon generale tout type d 1 acquisition de 
donnees pour la machine. Le boitier electronique peut 
aussi comprendre un ecran de visualisation, ou tout type 
de composant permettant de transmettre des informations a 

20 1 1 utilisateur , voire un ecran tactile faisant en meme 
temps office de clavier d ? acquisition . On peut egalement 
prevoir des moyens de verrouillage et de deverrouillage de 
l'acces a la table client, le deverrouillage etant obtenu 
au moyen d'un code secret ou code "PIN" (PERSONAL 

25 IDENTIFICATION NUMBER, en langue anglaise) . 

Le format de la carte de credit est si repandu et si 
adapte a la vie quotidienne, qu'il est preferable que le 
boitier electronique presente un tel format. Cependant, 
comme une interface homme/machine est necessaire, on 

30 preconisera 1 ' utilisation d'une carte ayant un clavier 
sensitif, ou de toute technologie de faible epaisseur, de 
12 touches (0 a 9, "valider", "annuler"), et un ecran 
digital, une telle carte ayant par ailleurs deja ete 
decrite dans la litterature ( FR 2 768 532) . 
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Le boitier electronique ne necessitant en premier 
lieu pas de communication electronique exterieure, 
1' interface de communication par contact affleurant 
habituel sur les cartes a puces bancaires n'est pas 

5 necessaire. Cette interface pourra cependant apparaitre 
dans le cas d'une carte hybride supportant d'autres 
fonctions que celles exposees precedemment . II faudra 
alors prendre soin de conserver 1 1 inviolabili te de la 
memoire contenant la table client soit par une separation 

10 physique des circuits a I'interieur du boitier, soit par 
une separation electronique de ces circuits. II pourra 
toutefois exister une zone de contacts affleurants, 
geographiquement bien definie sur le boitier electronique, 
comprenant deux poles afin, soit d ? alimenter le boitier en 

15 electricite pour son fonctionnement, soit de recharger une 
batterie d ' alimentation interne au boitier. L 1 alimentation 
electrique par cellule photoelectrique , ou par champ 
induit, est egalement possible. 

Suivant un autre aspect de l f invention, il est 

20 propose un procede de transaction securisee via un reseau 
de communication, dans lequel un client se connecte, via 
un terminal, a un serveur marchand en vue de realiser un 
achat. Selon l f invention, le procede comprend les etapes 
de : 

25 - generation d'une information de transaction a 

partir d'une table client stockee dans un boitier 
electronique en possession du client, cette table etant 
isolee du reseau de communication, 

transmission, par exemple via le terminal, de 

30 1 1 information de transaction vers un serveur d 1 un tiers de 
confiance, ce serveur du tiers de confiance renfermant un 
double de la table client, 

reception de 1 ' information de transaction par le 
serveur du tiers de confiance et comparaison de cette 
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information avec la table client stockee dans ce serveur 
du tiers de confiance, 

validation de 1 ' achat lorsque la comparaison est 

positive . 

5 La comparaison est positive lorsque 1 1 information de 

transaction est contenue dans la table client stockee dans 
le serveur du tiers de confiance et le serveur du tiers de 
confiance regoit cette information de confiance pour la 
premiere f ois . En d'autres termes, la comparaison est 

10 positive lorsque le serveur du tiers de confiance regoit 
un numero d ! achat et un numero de certification non encore 
utilises. Plus precisement, cette comparaison consiste a 
verifier si pour un numero d' achat contenu dans 
1 1 information de transaction regue, le numero de 

15 certification associe est identique a celui contenu dans 
la table client stockee dans ce serveur du tiers de 
confiance . 

Selon l 1 invention, le serveur du tiers de confiance 

notifie au client le resultat de la comparaison. 
20 D'autres avantages et caracteristiques de 1' invention 

apparaitront a l'examen de la description detaillee d'un 

mode de mise en oeuvre nullement limitatif, et des dessins 

annexes sur lesquels : 

la figure 1 est un schema simplifie illustrant 
25 les principaux elements du systeme ainsi que le parcours 

des informations echangees; 

la figure 2 est un schema-bloc illustrant 

quelques elements constitutifs d'un boitier electronique 

selon 1 ' invention; 
30 - la figure 3 est un organigramme des etapes 

d'obtention d'un numero d 1 achat et d'un numero de 

certification selon 1' invention; et 
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la. figure 4 est un schema-bloc illustrant 
1 ' integration du boitier electronique dans un telephone 
portable . 

Sur la figure 1 on distingue trois principales 
entites, le client 10, le marchand 30 et la banque 20 qui 
fait office de tiers de confiance. Ces trois entites sont 
connectees au reseau de communication Internet au moyen, 
respect ivement , d 1 un micro-ordinateur 4 0, d 1 un serveur- 
marchand 60 et d'un serveur-banque 50. Le client 10 
possede avantageusement un boitier electronique 70 delivre 
par la banque 20. Quelques elements de ce boitier sont 
representes sur la figure 2. 

On distingue, sur cette figure 2, dans le boitier 
electronique 70 une table client 80 formee de deux 
colonnes, une colonne "N° d T achat" composee d'une serie de 
numeros allant de 1 a 999 et une colonne "N° de 
certification" compose d 1 une serie de codes predetermines 
de fagon aleatoire et unique. Le boitier comprend 
egalement un circuit logique 110 comportant au moins un 
microcontroleur ou un microprocesseur , et une interface 
homme/machine 120 incluant notamment un ecran 130 et un 
clavier 140. Un numero de serie 100 est dispose sur un 
cote de ce boitier de fagon a rester constamment visible. 
Avantageusement, comme on peut le voir sur la figure 1, le 
boitier electronique et le serveur-banque possedent tous 
deux une meme table client 80. Cette table client est 
stockee dans le serveur 50 de fagon a etre inaccessible a 
travers Internet. Le boitier electronique presente un 
formal: proche d'une carte de credit convent ionnell e et 
possede un clavier sensitif et un ecran digital, une telle 
carte ayant par ailleurs deja ete decrite dans la 
litterature ( FR 2 768 532). 
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On va maintenant decrire une procedure de transaction 
selon I 1 invention en se referant en particulier a la 
figure 1 . 

Le client 10, se met en contact au moyen du micro- 

5 ordinateur 40 avec le serveur 60 du marchand 30. La notion 
de client et de marchand peut etre elargie a toute 
relation de transmission mettant en relation un parti 
emettant une information signee et un parti desireux de 
recevoir cette information avec 1 T assurance que la 

10 signature designe ef f ectivement le parti emetteur. Le 
client a acces au serveur du marchand via le reseau 
Internet. On suppose qu ? il a deja choisi une marchandise 
qu ! il desire acquerir. Pour le reglement de son achat, le 
marchand 30 demande alors au client 10 de transmettre un 

15 identifiant, lequel peut etre par exemple son nom si 
celui-ci est suffisamment unique, ou un identifiant defini 
a 1 1 avance avec le tiers de confiance 20 qui est une 
banque. A titre d' exemple, cet identifiant est le numero 
de serie 100 du boitier electronique 70, lequel est unique 

20 et note sur le dit boitier. Le marchand demande egalement 
un numero d' achat et un numero de certification, lequel 
peut etre un code numerique ou alphanumer ique ou 
alphabetique . 

A l'etape 1 sur la figure 1, le client se fait 
25 reconnaitre aupres de son boitier electronique par 
1 1 introduction d 1 un code de signature individuel, par 
exemple sous la forme d'un code a 4 chiffres, communement 
nomme code PIN (Personal Identification Number) . Le 
boitier electronique possede un composant de surveillance 
30 verifiant la validite de ce code, et gerant par un blocage 
momentane ou definitif son utilisation apres un nombre 
definit d'erreurs d 1 introduction , par exemple apres trois 
essais infructueux successifs. 
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Apres validation du code PIN , le systeme electronique 
delivre au client un numero d' achat issu d 1 un compteur 
interne. Ce numero s'incremente d'une unite chaque fois 
que le client accede a un numero de certification. II 
5 correspond done au nombre d f achats, ou de demandes de 
numeros de certification, ef fectue par le client. 

La table client enregistree dans la memoire du 
boitier electronique fait correspondre a chacun des 
numeros d' achat un numero de certification defini 
10 aleatoirement lors de 1 1 initialisation du boitier par la 
banque . 

Le client introduit a l'etape 2 son identif iant, le 
numero d ' achat ainsi que le numero de certification 
delivres par le boitier electronique 70 dans son micro- 

15 ordinateur 40 de f agon a les transmettre a 1 'etape 3 vers 
le serveur 60 du marchand 30. Ce triplet peut par exemple 
etre constitue respecti vement des donnees : "1234" pour 
1 1 identif iant ; "004" pour le numero d'achat; et "43B1" 
pour le numero de certification. Cette transmission est de 

20 preference securisee au moyen de techniques 

conventionnelles. Le marchand etablit alors une facture 90 
comprenant le triplet transmis par le client ainsi que des 
informations concernant la marchandise desiree par le 
client, par exemple le prix de cette marchandise. A 

25 l'etape 4, le marchand prend contact avec la societe 
emettrice du systeme en lui fournissant la facture 90 a 
travers Internet de fagon securisee a l'aide de techniques 
connues. La banque verifie la validite de ces informations 
a l'aide du double de la table client qu'elle possede et 

30 enregistre 1 ' utilisation de ce numero d'achat. Elle 
fournit au marchand, a l'etape 5, un accord de transaction 
lorsque, pour le client identifie au moyen de 
1 ' identif iant "1234" et pour le numero d'achat "004", le 
numero de certification M 43B1" correspond bien au numero 
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de certification present dans la table client stockee dans 
le serveur 50. Au prealable, la banque a bien pris soin de 
verifier que pour ce client, le numero d 1 achat est utilise 
pour la premiere fois. La banque peut egalement effectuer 

5 directement le paiement de la commande depuis le compte du 
client, et eventuellement envoyer a l'etape 6, par exemple 
par messagerie electronique , un regu au client. Si 
ulterieurement la banque regoit une facture d f achat 
comprenant un numero d 1 achat ou un numero de certification 

10 deja utilise, elle refusera cette facture, et 
eventuellement en avertira, par exemple par messagerie 
electronique, ou tout autre moyen, le client identifie. 

Lorsque le marchand regoit 1 T accord de la banque a 
l'etape 5, il peut alors transmettre la marchandise 

15 commandee par le client a l'etape 7. 

La duree entre 1' instant ou le client transmet 
1 1 information (numero de serie, numero d f achat, numero de 
certification) , et celui ou la banque enregistre cette 
utilisation devra etre la plus courte possible. Ainsi si 

20 cette duree reste inferieure au temps necessaire a son 
utilisation frauduleuse, on pourra parler de securite 
absolue du systeme. On peut integrer dans la transaction 
une estampille temporelle de type "TSA" ("Time Stamping 
Authority" en langue anglaise, une technologie en etude a 

25 l'ETSI, European Telecommunications Standards Institute, 
ETSI TS 101 861, http://www.etsi.org). Cette estampille 
est introduite de fagon cryptee, au moyen du micro- 
ordinateur du client, dans 1 ' information de transaction a 
destination du serveur de la banque. A la reception, le 

30 serveur de la banque decrypte 1 f estampille , la compare aux 
donnees temporelles reactualisees d'un serveur "TSA" par 
exemple, et peut ainsi produire une erreur sur la 
transaction pour delai ecoule si la duree ecoulee entre 
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transmission, et reception semble depasser une duree de 
transmission normale predefinie. 

La figure 3 est un organigramme debutant a I'etape 
150 et illustrant dif ferentes etapes necessaires pour 
acceder au numero d 1 achat et au numero de certification, 
ces etapes etant realisees par le circuit logique 110 du 
boitier electronique. A I'etape 170, la variable "x", par 
exemple egale a 3 a I'etape 150, represente le nombre 
maximum d'essais d ' introduction d ' un code PIN errones. Si 
"x" est egale a zero, le circuit logique affiche a I'etape 
160 "erreur code PIN" et se bloque. Un eventuel deblocage 
necessite 1 1 intervention de la societe emettrice, a savoir 
la banque 2 0 . 

Lorsque "x" est different de zero, le client peut 
introduire son code PIN et appuyer sur la touche 
"Validation" a I'etape 180. Le circuit logique compare 
alors ce code PIN avec un code pre-charge a I'etape 190. 
Si le code PIN n'est pas le bon, on passe a I'etape 200 en 
decrementant la variable "x" d'une unite, puis on retourne 
a I'etape 170. 

Lorsque le code PIN est exact, on affiche a I'etape 
210 le numero d'achat et le numero de certification. Puis, 
le circuit logique respecte un delai de cinq minutes qui 
peut etre interrompu par un appui sur la touche 
"Annulation" . Apres ce delai, le circuit logique 
incremente le numero d'achat d'une unite a I'etape 230, 
puis verifie a I'etape 240 si ce numero est egal a 999 qui 
represente la derniere valeur possible du numero d'achat 
dans la table client. Lorsque le numero d'achat a atteint 
0 la valeur 999, on affiche a I'etape 250 "carte expiree" et 
le circuit logique se bloque, dans le cas contraire on se 
place au debut de la procedure en 150. 

Le boitier electronique peut etre un telephone 
portable ou un agenda electronique personnel, au sein 
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duquel a ete place 1' ensemble circuit logique\table 
client. Cependant, de preference, des lors qu 1 on utilise 
comme interface un appareil ayant la possibility d'etre 
connecte a un reseau de communication, on prendra 
5 particulierement soin de conserver la stricte 
impos sibilite de lecture des donnees de la table par un 
quelconque acces externe au support en dehors de 
1' interface homme-machine prevu precedemment . Comme on le 
voit sur la figure 4, on utilise un telephone portable 260 

10 comme un simple lecteur dans lequel on a place un module 
de transaction 290 contenant la table client 80, un 
identifiant 300 ainsi que le circuit logique 110 capable 
de piloter les etapes illustrees sur la figure 3 . 
L 1 interface homme-machine 270 est, soit en communication 

15 avec le module de transaction 290, soit en communication 
avec un module telephonique 280 necessaire pour realiser 
au moins la fonction de telephonie mobile. Le telephone 
n'apporte qu'une interface homme-machine. Lorsque le 
client execute le processus d'obtention du numero d' achat 

20 et du numero de certification, ces deux numeros peuvent 
etre memorises par le client ou de preference stockes dans 
une memoire tampon. Ensuite, une fois le telephone 
connecte au reseau sans fil, on peut transmettre les 
numeros d' achat et de certification a partir de cette 

25 memoire tampon. 

La transmission de donnees (numero de serie / numero 
d' achat / numero de certification) peut done se faire en 
utilisant un reseau telephonique filaire ou non sous forme 
d f un signal numerique. 

30 Bien sur, l f invention n'est pas limitee aux exemples 

qui viennent d'etre decrits et de nombreux amenagements 
peuvent etre apportes a ces exemples sans sortir du cadre 
de 1' invention, notamment on peut utiliser le systeme 
selon 1' invention pour des trai tements autres que 1 1 achat 
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de marchand.is-e, par exemple des traitements pour la 
transmission d ' information , pour un echange de contrat 
necessitant une authenti f ication... On peut aussi envisager 
un mode automatique entre par exemple un serveur marchand 
5 et un serveur client, le serveur client ayant acces a un 
programme de delivrance des numeros d f achat et de 
certification independamment de la connexion avec le 
reseau de communication. 
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RE VEN D I CAT I ON S 

1. Systeme de transaction securisee via un reseau de 
communication, comprenant un terminal (40) d'un client 

5 (10) pour se connecter audit reseau de communication et 
transmettre une requete d' achat, un serveur marchand (60) 
pour recevoir la requete d 1 achat du client et une 
information de transaction fournie par le client (10, 40), 
un serveur (50) d 1 un tiers de confiance (20) pour recevoir 

10 et valider 1 1 information de transaction afin de proceder 
au paiement de 1' achat, caracterise en ce qu ! il comprend 
un module de traitement (70) localise chez le client et 
comprenant une table client (80) qui renferme 
1 T information de transaction, cette information de 

15 transaction etant unique pour chaque transaction, et en ce 
que le serveur du tiers de confiance comprend un double de 
cette table client (80) . 

2. Systeme selon la revendication 1, caracterise en ce que 
20 la table client (80) comprend une serie de numeros d' achat 

chacun associe a un numero de certification unique. 

3. Systeme selon l'une des revendications 1 et 2, 
caracterise en ce que le module de traitement (70) 

25 comprend en outre des moyens de traitement (110) pour 
fournir a chaque sollicitation un nouveau numero d' achat 
ainsi qu 1 un nouveau numero de certification associe. 

4. Systeme selon l'une des revendications 2 et 3, 
30 caracterise en ce que chaque numero de certification est 

un numero aleatoire determine lors de la creation de la 
table client. 
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5. Systeme s.elon la revendication 1, caracterise en ce que 
la table client (80) comprend une serie de numeros d'achat 
et en ce que le module de traitement (70) et le serveur 
(50) du tiers de confiance (20) compr ennent en outre un 

5 algorithme apte a determiner pour chaque numero d'achat un 
numero de certification unique. 

6. Systeme selon 1 1 une quelconque des r evendica tions 2 a 
5, caracterise en ce que le module de traitement (70) et 

10 le serveur (50) du tiers de confiance comprennent un 
compteur incremental s ' incrementant d'une unite a chaque 
fourniture d ' un numero de certification, et en ce que le 
numero d'achat est la valeur de ce compteur incremental. 

15 7. Systeme selon l'une quelconque des revendica tions 
precedentes, caracterise en ce que la table client (80) 
est isolee de tout systeme de communication externe. 

8. Systeme selon l'une quelconque des revendications 
20 precedentes, caracterise en ce que le module de traitement 
(70) comprend des moyens de verrouillage et de 
deverrouillage de l'acces a la table client, le 
deverrouillage etant obtenu au moyen d ' un code secret. 

25 9. Systeme selon l'une quelconque des revendications 
precedentes, caracterise en ce que la requete d'achat 
comprend un code d ' ident i f icat ion du client. 

10. Systeme selon la revendication 9, caracterise en ce 
30 que le module de traitement comprend un numero de serie 

(100) unique servant de code d ' identification du client. 

11. Systeme selon l'une quelconque des revendications 
precedentes, caracterise en ce que le module de traitement 
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comprend au -moins un clavier (140) de dix touches 
numerotees de 0 a 9, et deux touches permettant des 
fonctions de validation et annulation. 

5 12. Systeme selon 1 1 une quelconque des r evendications 
precedentes, caracterise en ce que le module de traitement 
comprend un ecran de visualisation (130) . 

13. Systeme selon 1 ' une quelconque des r evendications 
10 precedentes, caracterise en ce que le module de traitement 

comprend un ecran tactile. 

14. Systeme selon 1 ' une quelconque des revendications 
precedentes, caracterise en ce que le module de traitement 

15 se presente sous le format d'une carte de credit 
conventionnelle . 

15. Systeme selon 1 1 une quelconque des revendications 1 a 
13, caracterise en ce que le module de traitement est un 

20 telephone portable (260) . 

16. Systeme selon 1 1 une quelconque des revendications 1 a 
13, caracterise en ce que le module de traitement est un 
agenda electronique . 

25 

17. Systeme selon l'une quelconque des revendications 
precedentes, caracterise en ce que le tiers de confiance 
est une banque . 

30 18. Procede de transaction securisee via un reseau de 
communication, dans lequel un client (10) se connecte, via 
un terminal (40), a un serveur marchand (60) en vue de 
realiser un achat, caracterise en ce qu'il comprend les 
etapes de : 
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generation d'une information de transaction a partir 
d'une table client (80) stockee dans un module de 
traitement (70) en possession du client, cette table 
etant isolee du reseau de communication, 
5 - transmission de 1 ' information de transaction vers un 

serveur (50) d'un tiers de confiance (20), ce serveur 
du tiers de confiance renfermant un double de la 
table client (80) , 

reception de 1 1 information de transaction par le 
10 serveur du tiers de confiance et comparaison de cette 

information avec la table client stockee dans ce 
serveur du tiers de confiance, 

validation de 1 1 achat lorsque la comparaison est 
positive . 

15 

19. Procede selon la revendication 18, caracterise en ce 
que la comparaison est positive lorsque 1 1 information de 
transaction est contenue dans la table client stockee dans 
le serveur du tiers de confiance et le serveur du tiers de 
20 confiance regoit cette information de confiance pour la 
premiere fois. 



20. Procede selon 1 1 une des revendicat ions 18 et 19, 
caracterise en ce qu'on genere 1 ' information de 
25 transaction en prelevant dans la table client stockee dans 
le module de traitement un numero d'achat associe a un 
numero de certification. 



21. Procede selon la revendication 20, caracterise en ce 
30 que la comparaison est positive lorsque le serveur du 
tiers de confiance regoit un numero d'achat et un numero 
de certification non encore utilises. 



WO 01/54085 



PCT/FR01/00172 



- 20 - 

22. Procede. selon 1 1 une des revendica tions 20 et 21, 
caracterise en ce que la comparaison consiste a verifier 
si pour un numero d ? achat contenu dans 1 1 information de 
transaction regue, le numero de certification associe est 

5 identique a celui contenu dans la table client stockee 
dans ce serveur du tiers de conf iance . 

23. Procede selon l'une quelconque des revendications 20 a 

22, caracterise en ce qu'on incremente le numero d' achat 
10 de telle sorte que pour chaque sollicitation du module de 

traitement on genere un nouveau numero d T achat. 

24. Procede selon l'une quelconque des revendications 18 a 

23, caracterise en ce qu'on transmet 1 ' information de 
15 transaction accompagnee d'un code d ' identification 

permettant d' identifier le client. 

25. Procede selon la revendication 24, caracterise en ce 
qu'on determine le code d ' identification du client a 

20 partir d'un numero de serie (100) du module de traitement. 

26. Procede selon l'une quelconques des revendications 18 
a 25, caracterise en ce que 1 ' information de transaction 
transite (3, 4) par le serveur marchand qui le transmet au 

25 serveur du tiers de conf iance. 

27. Procede selon l'une quelconque des revendications 18 a 
26, caracterise en ce que la table client comprend une 
serie de numeros d' achat de telle sorte qu'on determine a 

30 partir de chaque numero d' achat un numero de certification 
unique au moyen d'un algorithme 
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28. Procede .selon 1'une quelconque des r evendica tions 18 a 

27, caracterise en ce que le serveur du tiers de confiance 
notifie (6) au client le resultat de la comparaison. 

5 29. Procede selon l'une quelconque des r evendicat ions 18 a 

28, caracterise en ce que 1 ' information de transaction 
comprend en outre une estampille permettant au serveur du 
tiers de confiance de determiner la duree entre la 
transmission et la reception de cette information de 

10 transaction. 
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